恶意样本分析-Lab16-01 反调试1分析

最新推荐文章于 2024-12-09 12:34:13 发布
最新推荐文章于 2024-12-09 12:34:13 发布
阅读量609 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 病毒分析 学习资料整理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LoopherBear/article/details/106339906
本文详细介绍了对一个恶意样本的反调试分析,包括静态分析和动态调试两部分。在静态分析阶段,通过IDA避开伪代码直接查看汇编,发现关键的反调试检测。动态调试时,针对BeingDebugged、ProcessHeap和NtProcessFlag等反调试机制进行了逐一破解,确保样本能够正常运行和分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

恶意样本分析-Lab16-01 反调试1分析

这个样本是随书《恶意代码分析实战》第十六章的样本,主要用来熟悉反调试的一些手段,这个算是样本分析中需要掌握的基础知识。这篇笔记会包含了静态分析和静态分析。基本要求

在这里插入图片描述

在分析这个样本之前可以先看一下恶意样本分析–16Windows中一些常用的反调试记录

静态分析

静态分析就不做PE信息的分析,直接走IDA分析,这个过程尽量不走伪代码分析,分析汇编指令,便于在x64dbg上分析时快速定位。

由于已经在第九章分析了,因此这里关注到反调试手段。首先来到入口处看到关键指令

在这里插入图片描述

很明显这个两个检测都是PEB结构的变量的检测,如果都不为0,则会调用函数sub_401000删除样本。

动态调试分析

使用x64dbg加载来到入口位置(这里注意如果程序放行就会停止同时样本被删除),

  • 检测BeingDebugged

第一个检测返回状态值不为0,为

最低0.47元/天 解锁文章
恶意样本分析手册
不忘初心,护天下安全!
10-14 1199
图解恶意样本分析的常用方法,你与安全专家的差距只有一篇文章!
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
一个恶意样本分析
信息安全
08-09 4506
1.1样本信息1样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
恶意样本分析报告
4SecNet团队专栏
03-20 765
分析报告 样本信息 文件大小 MD5 文件名称 72.07KB 44BCF2DD262F12222ADEAB6F59B2975B ab.exe 样本功能分析: 通过shellcode编写进行免杀,实现干扰分析人员进度: 通过多重跳转实现类似垃圾指令的功能,干扰分析人员,获取当前文件执行镜像名称与硬编码的数据进行对比,也是一种防止分析的手段(校验运行的进程名与预设的进程名是否相同) 对文件名称进行校验: 根据算法比较获取目标DLL文件 DLL算法(有可能是UNICODE,也有可能是AN
GO恶意样本实例分析
zhangge3663的博客
01-15 881
最近在工作中遇到不少的go语言编写的恶意样本,也整理了在分析go恶意样本的一些基础知识,各位同学可以先看看这篇文章《GO恶意样本分析》,对go语言的分析基础有一定了解。 在平常的工作中遇到的情况来看,go语言的恶意样本可以分为如下的三个等级以及对应的等级的说明。 非常简单: 未去除符号以及未混淆的恶意软件。 一般简单: 去除符号的恶意软件。 困难:混淆的恶意软件。 我找了几个对应的样本,大家可以一起学习学习。 未去除符号以及未混淆的的恶意软件   WellMesss是疑似具有俄罗斯...
恶意软件样本行为分析
weixin_49816179的博客
12-17 321
本文介绍了恶意样本行为分析方式,包括:1) 熟悉 Process Moniter 的使用;2) 熟悉抓包工具 Wireshark 的使用;3) VMware 的熟悉和使用;4) 灰鸽子木马的行为分析
恶意代码分析实战课后练习题
11-04
"Practical Malware Analysis Labs"这个文件名暗示了这是一系列实际操作的实验,学习者可以通过亲手分析不同类型的恶意样本,加深对恶意代码分析的理解。每个实验室可能包括目标代码、分析任务和预期结果,引导学习...
学习笔记-第十五章 恶意代码分析实战
Yes_butter的博客
03-28 622
15章 对抗反汇编 所谓对抗反汇编技术,就是程序中使用一些特殊构造的代码或数据,让反汇编分析工具产生不正确的程序代码列表。这种技术由恶意代码编写者手工构造,在恶意代码编译和部署阶段使用一个单独的混淆工具,或是直接在源码中插入混淆代码。 所有恶意代码的设计都有特殊目的:键击记录,后门访问,使用目标系统发送大量电子邮件让服务器瘫痪,等等。 恶意代码编写者会使用对抗反汇编技术来延缓分析人员分析恶意代码...
恶意代码分析
最新发布
aming小老弟
12-09 1688
著名防火墙公司Palo Alto Networks近日在官网公布了一个CVE-2024-3400的漏洞信息,该漏洞存在于部分PAN-OS系统的GlobalProtect功能中,在某些配置打开的情况下,攻击者可以对运行该系统的设备进行未授权RCE,并且拿到系统的root权限。A5.这一恶意代码会使用高层API函数连接到一个远程的FTP服务器,我们可以下载并建立一个本地FTP服务器,并将DNS请求重定向至这一服务器,以充分分析恶意代码。所以,其一旦广泛传播开便极难彻底清除。然后启动lab20-2.exe。
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包(1)
2401_83621541的博客
04-14 852
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
新变种Emotet恶意样本分析
PwnGuo的博客
12-08 1184
样本信息 表1.1 样本信息表 文件 大小 190976 字节 修改时间 202112月2日, 10:30:02 MD5 2EFBE18F2ED8AE0D4648B68596DFA00C SHA1 0954D1E4BC63EB075703FB3D40B5CDB06F57E61E CRC32 8969E72E ...
简单的恶意样本行文分析-入门篇
weixin_48421613的博客
06-21 1436
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
利用AI+大数据的方式分析恶意样本(四十三)
至臻求学,胸怀云月
05-03 1613
一篇USENIX 2023关于人类与ML分析malware差别的文章阅读
利用AI+大数据的方式分析恶意样本(二十七)
至臻求学,胸怀云月
07-11 2409
NDSS2021一篇挖矿二进制检测的文章阅读
利用AI+大数据的方式分析恶意样本(三十九)
至臻求学,胸怀云月
01-18 4930
一篇USENIX2022 关于机器学习用于安全场景的十大缺陷文章阅读
恶意样本分析手册——理论篇
iopoint的专栏
07-27 825
0x00写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携.
利用AI+大数据的方式分析恶意样本(四十)
至臻求学,胸怀云月
07-08 3023
一篇ACSAC2020通过对binary静态相似性分析测量iot上malware家族谱系的文章
利用AI+大数据的方式分析恶意样本(四十六)
至臻求学,胸怀云月
08-05 1560
S&P2023一篇更正malware标签的文章
恶意样本基础分析技巧
06-24 778
当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进行有效检测...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值